Курс Школа аудита ИС. Средний уровень

Код: ITG241

Продолжительность курса

32 Академических часа

Стоимость курса

132 431 руб
Заказать

Аудитория

  • аудиторов информационных систем, внешних аудиторов, финансовых и операционных аудиторов, аудиторов бизнес-приложений; специалистов по контролю качества; руководителей и менеджеров по аудиту; менеджеров и аналитиков по информационной безопасности.

От слушателя требуется

  • Необходимо прослушать курс "ITG101 IT Auditing and Controls" либо "ITG111 Making the Transition from IT to IT Audit", или иметь эквивалентные знания и соответствующий практический опыт. Предполагается знание основной терминологии и концепций контроля ИС.

Содержание курса

Оценка рисков и планирование аудита
  • угрозы для ИС, риски и последствия
  • определение риска
  • оценка рисков ИС
  • риски инфраструктуры ИС
  • баланс стоимость/риск
  • классификация информации
  • инструментарий оценки рисков ИС
Управление соответствием: положения, стандарты и модели
  • типы законов
  • проблемы соответствия нормативам
  • нормативные положения и стандарты в США и международные
  • хищение конфиденциальной информации, шифрование и другие важные вопросы регулирования государственного/регионального уровня
  • создание и использование моделей ИС, и моделей аудита и безопасности ИС
  • применение COBIT ® 4.1, ISO 27001/27002, ITIL, GAO/FISMA и других стандартов в качестве основы для модели аудита ИС
  • учет требований по соответствию в плане аудита
Руководство (governance) ИТ
  • риски, служебная ответственность и составляющие руководства ИТ
  • комитет по руководству (надзору) ИТ
  • руководство информационной безопасностью
  • политики, стандарты и процедуры информационной безопасности
  • организационная структура/служебные обязанности по ИТ
  • разделение обязанностей
  • стандарты аудита IIA и ISACA для руководства ИТ
  • аутсорсинг ИТ-операций и разработки
  • процедуры и контрольные перечни аудита
Контроль логического доступа
  • общие вопросы контроля доступа
  • контроль логического доступа
    • идентификация, аутентификация и управление учетными записями пользователей
    • авторизация и контроль доступа пользователей
    • журналы аудита и мониторинг
    • администрирование защиты
  • контроль доступа для распределенных многоуровневых приложений
  • безопасность мобильных устройств и приложений
  • процедуры и контрольные перечни аудита
Демистификация шифрования
  • концепции шифрования
  • управление ключами шифрования
  • цифровые подписи
  • инфраструктура открытых ключей и удостоверяющие центры
  • приложения шифрования
  • определение рамок аудита средств контроля шифрования
  • процедуры и контрольные перечни аудита
Безопасность инфраструктуры сети
  • сетевая терминология
  • риски безопасности и стратегии защиты сети
  • модели протоколов OSI и сетей TCP/IP
  • анализ рисков приложений TCP/IP
  • управление сетевой адресацией
  • межсетевые экраны, демилитаризованные зоны и защита периметра
  • системы обнаружения/предотвращения вторжения
  • безопасность удаленного доступа и виртуальных частных сетей
  • безопасность беспроводных локальных сетей
  • процедуры и контрольные перечни аудита
  • источники инструментария защиты и аудита сетей
ПО операционной системы
  • типы системного ПО
  • ОС серверов и рабочих станций
  • виртуализация и гипервизоры
  • целостность и риски для системного ПО
  • контроль логического доступа в операционных системах
  • аудит политик безопасности ОС: параметры ПО
  • управление исправлениями ПО
  • контроль привилегированных пользователей и программ
  • процедуры и контрольные перечни аудита
  • источники инструментария защиты и аудита ОС
Системы управления базами данных (СУБД)
  • реляционные базы данных и архитектуры СУБД
  • язык структурированных запросов
  • словарь данных/главный каталог и другие ключевые точки контроля СУБД
  • роли и риски систем и приложений СУБД
  • риски управления базами данных
  • средства контроля доступа и средства восстановления СУБД
  • процедуры и контрольные перечни аудита
  • источники инструментария защиты и аудита СУБД
Управление изменениями и разработкой системы
  • модели жизненного цикла разработки системы (System Development Life Cycle, SDLC)
  • разработка системы: бизнес-риски
  • роль аудита, обеспечение проекта персоналом, и стратегии аудита SDLC
  • оценка управления проектом
  • проекты сборки систем
  • быстрая разработка приложений и вычисления конечных пользователей
  • сокращение возможностей для атак: уязвимости и средства защиты Web-приложений
  • управление конфигурацией и контроль изменений в распределенной вычислительной среде
  • процедуры и контрольные перечни аудита
  • источники лучшей практики и инструментария безопасной разработки и тестирования ПО
Планирование непрерывности бизнеса и восстановления после чрезвычайной ситуации
  • планирование непрерывности бизнеса в сравнении с планированием восстановления после чрезвычайной ситуации
  • анализ воздействия на бизнес
    • приоритеты восстановления приложений
    • целевые точки восстановления
    • целевое время восстановления
  • планы восстановления и методы их тестирования
  • альтернативы размещения и телекоммуникаций на время восстановления
  • средства контроля перенесенных в другое место обработки и хранения данных
  • уроки, извлеченные из событий 11 сентября, урагана "Катрина" и других крупных стихийных бедствий
  • процедуры и контрольные перечни аудита
Осуществление аудита ИС
    • стратегии планирования аудита ИС
    • инструментальные средства и методики тестирования средств контроля ИС
    • источники лучшей практики аудита, контрольных перечней и другие ресурсы по аудиту ИС